بدافزار DarkGate
یک کمپین malspam با استفاده از یک بدافزار در دسترس به نام DarkGate فاش شده است. محققان امنیت سایبری پیشنهاد میکنند که افزایش فعالیت بدافزار DarkGate احتمالاً به دلیل تصمیم اخیر توسعهدهنده بدافزار برای ارائه آن برای اجاره به گروهی منتخب از شرکای مجرمان سایبری است. استقرار این تهدید همچنین با یک کمپین در مقیاس بزرگ همراه است که از رشتههای ایمیل در معرض خطر سوء استفاده میکند تا گیرندگان را فریب دهد تا ناآگاهانه این بدافزار را دانلود کنند.
فهرست مطالب
بدافزار DarkGate از طریق یک فرآیند حمله چند مرحله ای تحویل داده می شود
حمله با فریب دادن قربانی به یک URL فیشینگ آغاز می شود، که پس از کلیک کردن، از طریق یک سیستم هدایت ترافیک (TDS) می رود. هدف هدایت قربانیان ناآگاه به محموله MSI تحت شرایط خاص است. یکی از این شرایط وجود هدر رفرش در پاسخ HTTP است.
با باز کردن فایل MSI، یک فرآیند چند مرحله ای راه اندازی می شود. این فرآیند شامل استفاده از یک اسکریپت AutoIt برای اجرای پوستهکد است که بهعنوان وسیلهای برای رمزگشایی و راهاندازی تهدید DarkGate از طریق رمزگذار یا لودر عمل میکند. به بیان دقیق تر، لودر طوری برنامه ریزی شده است که اسکریپت AutoIt را تحلیل کرده و بار رمزگذاری شده را از آن استخراج کند.
نسخه جایگزینی از این حملات نیز مشاهده شده است. به جای یک فایل MSI، یک اسکریپت ویژوال بیسیک استفاده می شود که از cURL برای بازیابی فایل اجرایی AutoIt و فایل اسکریپت استفاده می کند. روش دقیق مورد استفاده برای ارائه اسکریپت VB در حال حاضر ناشناخته باقی مانده است.
دارک گیت می تواند اقدامات مضر متعددی را روی دستگاه های خراب انجام دهد
DarkGate دارای طیف وسیعی از قابلیتها است که به آن امکان میدهد از شناسایی توسط نرمافزارهای امنیتی فرار کند، از طریق تغییرات رجیستری ویندوز پایداری ایجاد کند، امتیازات را افزایش دهد و دادهها را از مرورگرهای وب و پلتفرمهای نرمافزاری مانند Discord و FileZilla به سرقت ببرد.
علاوه بر این، با یک سرور Command-and-Control (C2) ارتباط برقرار می کند و اقداماتی مانند شمارش فایل، استخراج داده ها، شروع عملیات استخراج ارز دیجیتال، گرفتن اسکرین شات از راه دور و اجرای دستورات مختلف را امکان پذیر می کند.
این تهدید عمدتاً در انجمن های زیرزمینی تحت یک مدل اشتراک به بازار عرضه می شود. قیمت پیشنهادی متفاوت است، از 1000 دلار در روز تا 15000 دلار در ماه و حتی تا 100000 دلار در سال. خالق بدافزار آن را به عنوان «ابزار نهایی برای آزمایشکنندگان قلم/تیمکنندگان قرمز» تبلیغ میکند و ویژگیهای انحصاری آن را که ظاهراً در هیچ جای دیگری یافت نمیشود، برجسته میکند. جالب اینجاست که محققان امنیت سایبری نسخههای قبلی DarkGate را کشف کردهاند که شامل یک ماژول باجافزار نیز میشد.
به ترفندهای مورد استفاده در حملات فیشینگ نیفتید
حملات فیشینگ یک مسیر تحویل اولیه برای انواع تهدیدات بدافزار از جمله دزدها، تروجانها و بارکنندههای بدافزار هستند. تشخیص چنین تلاشهای فیشینگ برای ایمن ماندن و قرار نگرفتن دستگاههای شما در معرض خطرات خطرناک امنیتی یا حریم خصوصی بسیار مهم است. در اینجا چند پرچم قرمز معمولی وجود دارد که باید از آنها آگاه باشید:
- آدرس فرستنده مشکوک : آدرس ایمیل فرستنده را به دقت بررسی کنید. اگر حاوی غلط املایی، نویسههای اضافی است یا با دامنه رسمی سازمانی که ادعا میکند از آن است مطابقت ندارد، مراقب باشید.
- احوالپرسی نامشخص : ایمیلهای فیشینگ اغلب به جای اینکه شما را با نام شما خطاب کنند، از تبریکهای عمومی مانند «کاربر عزیز» استفاده میکنند. سازمان های قانونی معمولا ارتباطات خود را شخصی می کنند.
- زبان فوری یا تهدیدآمیز : ایمیلهای فیشینگ باعث ایجاد احساس فوریت یا ترس برای اقدام فوری میشوند. آنها ممکن است ادعا کنند حساب شما به حالت تعلیق درآمده است، در غیر این صورت با عواقبی روبرو خواهید شد مگر اینکه سریع اقدام کنید.
- درخواستهای غیرمعمول برای اطلاعات شخصی : مراقب ایمیلهایی باشید که اطلاعات حساسی مانند رمز عبور، شمارههای تامین اجتماعی یا جزئیات کارت اعتباری را درخواست میکنند. سازمان های قانونی چنین اطلاعاتی را از طریق ایمیل نمی خواهند.
- پیوست های غیر معمول : پیوست های فرستنده ناشناس را باز نکنید. آنها می توانند حاوی بدافزار باشند. حتی اگر پیوست آشنا به نظر می رسد، اگر غیرمنتظره است یا شما را ترغیب به اقدام فوری می کند، محتاط باشید.
- پیشنهادات خیلی خوب برای واقعی بودن : ایمیل های فیشینگ ممکن است نوید جوایز، جوایز یا پیشنهادهای باورنکردنی را بدهد که قصد دارند شما را به کلیک روی پیوندهای مخرب یا ارائه اطلاعات شخصی ترغیب کنند.
- پیوندهای غیرمنتظره : مراقب ایمیل هایی باشید که به طور غیر منتظره حاوی لینک هستند. به جای کلیک کردن، آدرس وب سایت رسمی را به صورت دستی در مرورگر خود تایپ کنید.
- دستکاری عاطفی : ایمیل های فیشینگ ممکن است سعی کنند احساساتی مانند کنجکاوی، همدردی یا هیجان را برانگیزند تا شما را به دسترسی به پیوندها یا دانلود پیوست ها وادار کنند.
- فقدان اطلاعات تماس : سازمان های قانونی معمولاً اطلاعات تماس را ارائه می دهند. اگر ایمیلی فاقد این اطلاعات است یا فقط یک آدرس ایمیل عمومی ارائه می دهد، محتاط باشید.
هوشیار ماندن و آموزش خود در مورد این پرچم های قرمز می تواند کمک زیادی به محافظت از خود در برابر تلاش های فیشینگ کند. اگر ایمیلی دریافت کردید که باعث شک و تردید می شود، بهتر است قبل از هر اقدامی از طریق کانال های رسمی صحت آن را بررسی کنید.